為了迴避企業建立的各種偵測措施,惡意滲透手法持續不斷轉變,從以往封裝於執行檔,演進到攻擊程式碼內嵌於Word、PDF等文件,到如今主流手法則已無需檔案本體,可利用作業系統內建的瀏覽器、PowerShell等環境,把攻擊腳本直接載入記憶體,來達到竊取帳密、機敏文件等目的。
面對攻擊手法變得更刁鑽難以察覺,端點防護平台(Endpoint Protection Platform,EPP)亦隨之再進化,不僅基於長期累積的威脅情資來辨識特徵,更廣泛地納入機器學習演算法,依據攻擊者所採用的工具、策略與執行程序(TTP),強化了事前的行為偵測、事中調查與事後執行回應的機制。此外,陸續整合以往為獨立運行的端點偵測與回應(Endpoint Detection and Response,EDR)、記憶體檢測等能力,以掌握動態行為資訊,進而依據應用情境調整防禦措施,全面性地防堵潛在威脅釀成重大資安事故。
降低事件調查與回應門檻 完整提升產業防禦力
現代企業借助新興資訊科技開創數位商機的同時,暗網(Dark Web)產業鏈也同樣持續發展,儘管資安領域已廣泛地應用人工智慧輔助全面偵查,以破壞攻擊活動的完整流程,但仍難以遏止攻擊者為了謀取利益不斷地變換策略與技術來迴避偵測,使得企業與資安技術供應商皆面臨相當大的挑戰。
端點防護擴展延伸 逐步落實全視野願景
數位化應用模式興起推動各產業邁向轉型的道路,就算是解決方案供應商也不例外。日前趨勢科技在慶祝成立30周年的同時,提出「全視界(One Vision)」新願景,首先實踐的是重新定義端點防護方案Apex One,在同一引擎中整合威脅偵測(EPP)、事件調查與回應(EDR)機制。
確保數位工作環境安全 降低潛在資安風險
自Intel Security部門拆分後的McAfee,不僅於2017年底宣布收購Skyhigh Networks,取得該公司知名的雲端存取安全代理(CASB)技術,並針對雲端應用相關安全防護機制提出MVISION全系列方案。
引導式處置資安事件 聯合限縮威脅擴散
為了區隔新世代端點防護平台,Sophos自2016年提出Intercept X新品牌,增添人工智慧與深度學習演算技術,發展至2018年3月已正式發佈2.0版本。日前則更進一步發布Intercept X Advanced with EDR,正式納入端點偵測與回應(EDR)機制,基於單一引擎實作,以降低中小企業進入門檻。
隔離技術降低風險 MEDR攜手災害修復
全球資安威脅情勢持續惡化,可被利用來攻擊的管道隨著數位化轉型趨勢發展而激增,尤其是近年來快速增長的挖礦程式,以及難以辨識真偽的離地攻擊(Living off the Land)手法,為此賽門鐵克近來針對終端、郵件、網頁等控制點,相繼納入隔離技術,以因應來自四面八方的威脅。同時搭配SEP(Symantec Endpoint Protection)14版,引擎中內建EDR分析威脅情資,以便於事件調查與回應。